-互聯(lián)網(wǎng)業(yè)務(wù)流量監(jiān)測(cè)技術(shù)的應(yīng)用和設(shè)計(jì)要點(diǎn)

1、- 互聯(lián)網(wǎng)業(yè)務(wù)流量監(jiān)測(cè)技術(shù)的應(yīng)用和設(shè) 計(jì)- 互聯(lián)網(wǎng)業(yè)務(wù)流量監(jiān)測(cè)技術(shù)的應(yīng)用和設(shè)計(jì)類(lèi)別：通信網(wǎng)絡(luò)0、前言隨著寬帶互聯(lián)網(wǎng)在中國(guó)的迅速發(fā)展，全國(guó)各大電信運(yùn)營(yíng)商的網(wǎng)絡(luò)規(guī)模都在不斷擴(kuò)張，網(wǎng)絡(luò)結(jié)構(gòu)日漸復(fù)雜，網(wǎng)絡(luò)業(yè)務(wù)日趨豐富，網(wǎng)絡(luò)流 量高速增長(zhǎng)。電信運(yùn)營(yíng)商需要通過(guò)可靠、有效的網(wǎng)絡(luò)業(yè)務(wù)流量監(jiān)測(cè)系統(tǒng)對(duì)其網(wǎng) 絡(luò)以及網(wǎng)絡(luò)所承載的各類(lèi)業(yè)務(wù)進(jìn)行及時(shí)、準(zhǔn)確的流量和流向分析，進(jìn)而挖掘網(wǎng) 絡(luò)資源潛力，控制網(wǎng)絡(luò)互聯(lián)成本，并為網(wǎng)絡(luò)規(guī)劃、優(yōu)化調(diào)整和業(yè)務(wù)發(fā)展提供基 礎(chǔ)依據(jù)。 目前國(guó)內(nèi)電信運(yùn)營(yíng)商已建的網(wǎng)絡(luò)管理系統(tǒng)所能實(shí)現(xiàn)的流量監(jiān)測(cè)功 能非常有限，遠(yuǎn)遠(yuǎn)不能滿足運(yùn)營(yíng)商的迫切需要。 1 、互聯(lián)網(wǎng)業(yè)務(wù)流量監(jiān)測(cè)技術(shù) 的應(yīng)用及現(xiàn)狀 1.1 互聯(lián)網(wǎng)業(yè)

2、務(wù)流量監(jiān)測(cè)技術(shù)的應(yīng)用 流量監(jiān)測(cè)技術(shù)的 應(yīng)用主要包括以下幾個(gè)方面：a為網(wǎng)絡(luò)出口互聯(lián)鏈路的設(shè)置提供決策支持 通過(guò)對(duì)網(wǎng)絡(luò)出口流量和流向的分析，可以詳細(xì)了解網(wǎng)絡(luò)內(nèi)部用戶對(duì)其他 外部網(wǎng)絡(luò)的訪問(wèn)情況，從而有效地選擇與其他網(wǎng)絡(luò)的互聯(lián)方式和互聯(lián)地點(diǎn)，節(jié) 約互聯(lián)鏈路費(fèi)用。b）掌握用戶對(duì)其他運(yùn)營(yíng)商的訪問(wèn)情況通過(guò)對(duì)與其他網(wǎng)絡(luò)互聯(lián)流量的監(jiān)控，分析網(wǎng)絡(luò)內(nèi)部用戶訪問(wèn)其他外部網(wǎng)絡(luò)的業(yè)務(wù)特點(diǎn)和主 要流量的去向，準(zhǔn)確掌握內(nèi)部用戶對(duì)外網(wǎng)的興趣點(diǎn)，找到最多應(yīng)用的熱點(diǎn)信息 內(nèi)容。根據(jù)分析結(jié)果進(jìn)行相應(yīng)網(wǎng)絡(luò)內(nèi)容的建設(shè)，將用戶感興趣的熱點(diǎn)信息內(nèi)容 放到內(nèi)部網(wǎng)絡(luò)，減輕互聯(lián)鏈路的壓力。c）評(píng)估分支網(wǎng)絡(luò)的成本和價(jià)值通過(guò)對(duì)各個(gè)分支網(wǎng)絡(luò)出入流量的監(jiān)

3、控，分析流量的大小、去向及內(nèi)容組成，了 解各分支網(wǎng)絡(luò)占用帶寬的情況，從而反映其占用的網(wǎng)絡(luò)成本，也可以了解其業(yè) 務(wù)開(kāi)展情況，并作出價(jià)值評(píng)估。d）提供重要應(yīng)用和大客戶統(tǒng)計(jì)分析通過(guò)對(duì)重要應(yīng)用和大客戶的流量進(jìn)行統(tǒng)計(jì)分析，掌握重要應(yīng)用和大客戶的流量 狀況，進(jìn)行網(wǎng)絡(luò)帶寬的成本分析，有助于在網(wǎng)絡(luò)服務(wù)質(zhì)量和網(wǎng)絡(luò)成本之間取得 最佳平衡。e）基于ip的計(jì)費(fèi)應(yīng)用和服務(wù)等級(jí)協(xié)議（sla ）的校驗(yàn)服務(wù)通過(guò)對(duì)大客戶接入電路上的流量進(jìn)行監(jiān)控分析，可以統(tǒng)計(jì)出業(yè)務(wù)類(lèi)型、服務(wù)等 級(jí)、通信時(shí)間和時(shí)長(zhǎng)、通信數(shù)據(jù)量等參數(shù)，為基于 ip 的計(jì)費(fèi)應(yīng)用和 sla 的校驗(yàn) 服務(wù)提供數(shù)據(jù)依據(jù)。f ）掌握網(wǎng)絡(luò)狀況 通過(guò)對(duì)網(wǎng)絡(luò)中一些特定流量的長(zhǎng)期監(jiān)

4、控，有助于網(wǎng)管人員了解網(wǎng)絡(luò)的流量模型，所形成的基準(zhǔn)數(shù)據(jù)可供網(wǎng)管 人員正確分析網(wǎng)絡(luò)使用狀況，并可及時(shí)發(fā)布異常警訊，在故障事件爆發(fā)或擴(kuò)大 前實(shí)施防范措施，進(jìn)而提升網(wǎng)絡(luò)的整體質(zhì)量及效能。g）實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)異常通信的檢測(cè)，重點(diǎn)防范分布式拒絕服務(wù)（ddos ）的攻擊和大范圍的蠕蟲(chóng)病毒發(fā) 作 通過(guò)對(duì)網(wǎng)絡(luò)內(nèi)流量的實(shí)時(shí)分析，有助于及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的異常流 量，迅速分析出異常流量的具體屬性。通過(guò)與網(wǎng)絡(luò)通信正常基線的比對(duì)，管理 員對(duì)出現(xiàn)的異常通信可以快速定性是否為網(wǎng)絡(luò)安全攻擊，確定安全攻擊的類(lèi) 型，評(píng)估本次攻擊的危險(xiǎn)程度及可能造成的影響范圍，并采用相應(yīng)技術(shù)手段實(shí) 施事故應(yīng)急處理。h）為網(wǎng)絡(luò)優(yōu)化提供數(shù)據(jù)依據(jù)通過(guò)流量分

5、析，可以為多出口的流量負(fù)載均衡、重要鏈路的帶寬設(shè)置、路由選擇和設(shè)定 qos 等網(wǎng)絡(luò) 優(yōu)化措施提供數(shù)據(jù)依據(jù)。 1.2 互聯(lián)網(wǎng)業(yè)務(wù)流量監(jiān)測(cè)技術(shù)現(xiàn)狀分析 目 前國(guó)內(nèi)電信運(yùn)營(yíng)商的運(yùn)維部門(mén)大都還沒(méi)有建設(shè)一套能夠完全滿足管理需求的互 聯(lián)網(wǎng)業(yè)務(wù)流量監(jiān)測(cè)系統(tǒng)。現(xiàn)有的網(wǎng)絡(luò)管理系統(tǒng)雖然可以提供業(yè)務(wù)流量監(jiān)測(cè)手 段，但基本上只是采用一些通用型的網(wǎng)絡(luò)鏈路使用率監(jiān)視軟件，如利用免費(fèi)的 mrtg和簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（snmp，對(duì)網(wǎng)絡(luò)的重點(diǎn)鏈路和互聯(lián)點(diǎn)進(jìn)行簡(jiǎn)單的端 口級(jí)流量監(jiān)視和統(tǒng)計(jì)；或采用在網(wǎng)絡(luò)中部分重點(diǎn)業(yè)務(wù)接入點(diǎn)（pop）加裝遠(yuǎn)程監(jiān)控（rmon）探針的方式，利用rmon i/ ii協(xié)議對(duì)網(wǎng)絡(luò)中部分端口進(jìn)行網(wǎng)絡(luò)流量 和上層業(yè)

6、務(wù)流量的監(jiān)視和采集。上述兩種被普遍采用的網(wǎng)絡(luò)流量監(jiān)測(cè)系統(tǒng)都有著明顯的技術(shù)局限性。snmp采集端口的數(shù)據(jù)主要是在網(wǎng)元層用來(lái)監(jiān)控網(wǎng)絡(luò)流量和設(shè)備的性能，而且 snmp采集的數(shù)據(jù)是基于端口的，無(wú)法提供端到 端的準(zhǔn)確的流量信息，因此對(duì)流向的統(tǒng)計(jì)手段不明確。利用rmon探針對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)進(jìn)行流量和流向管理可以部分彌補(bǔ)snmp的技術(shù)局限性，其業(yè)務(wù)分析和協(xié)議分析功能較強(qiáng)。但是，采用rmon探針建設(shè)的流量監(jiān)測(cè)系統(tǒng)也有處理性能 不足和難以在大型網(wǎng)絡(luò)普遍部署的局限性。為克服現(xiàn)有網(wǎng)管系統(tǒng)對(duì)網(wǎng)絡(luò)流量和流向分析功能的技術(shù)局限性，運(yùn)營(yíng)商迫切需要尋找一種功能豐富、成熟穩(wěn) 定的新技術(shù)，對(duì)現(xiàn)有管理系統(tǒng)中流量信息的采集和分析方式進(jìn)行

7、改造和升級(jí)。 新的流量信息采集和分析技術(shù)應(yīng)具備對(duì)運(yùn)營(yíng)商的運(yùn)行網(wǎng)絡(luò)影響小、無(wú)需對(duì)網(wǎng)絡(luò) 拓?fù)溥M(jìn)行改變就能平滑升級(jí)的技術(shù)特征，既可以對(duì)網(wǎng)絡(luò)中各個(gè)鏈路的帶寬使用 率進(jìn)行統(tǒng)計(jì)，又可以對(duì)每條鏈路上不同類(lèi)型業(yè)務(wù)的流量和流向進(jìn)行分析和統(tǒng) 計(jì)。本文主要討論功能強(qiáng)大、應(yīng)用廣泛的 netflow 技術(shù)。 2 、流量監(jiān)測(cè)系統(tǒng)建 設(shè)方案中需要考慮的問(wèn)題 2.1 netflow 技術(shù)簡(jiǎn)介 netflow 是 cisco 公司提出的網(wǎng)絡(luò)數(shù)據(jù)包交換技術(shù)，該技術(shù)首先被用于網(wǎng)絡(luò)設(shè)備對(duì)數(shù)據(jù)交換進(jìn)行 加速，并可同步實(shí)現(xiàn)對(duì)高速轉(zhuǎn)發(fā)的 ip 數(shù)據(jù)流（ flow ）進(jìn)行測(cè)量和統(tǒng)計(jì)。經(jīng)過(guò)多 年的技術(shù)演進(jìn)， netflow 原來(lái)用于數(shù)據(jù)交換加

8、速的功能已經(jīng)逐步改由網(wǎng)絡(luò)設(shè)備 中的專(zhuān)用集成電路（ asic ）芯片實(shí)現(xiàn)，而對(duì)流經(jīng)網(wǎng)絡(luò)設(shè)備的 ip flow 進(jìn)行測(cè)量 和統(tǒng)計(jì)的功能卻更加成熟，并成為當(dāng)今互聯(lián)網(wǎng)領(lǐng)域公認(rèn)的最主要的 ip 流量分 析、統(tǒng)計(jì)和計(jì)費(fèi)行業(yè)標(biāo)準(zhǔn)。為對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)中不同類(lèi)型的業(yè)務(wù)流進(jìn)行準(zhǔn)確的流量和流向分析與計(jì)量，首先需要對(duì)網(wǎng)絡(luò)中傳輸?shù)母鞣N類(lèi)型數(shù)據(jù)包進(jìn)行區(qū) 分。由于 ip 網(wǎng)絡(luò)的非面向連接特性，網(wǎng)絡(luò)中不同類(lèi)型業(yè)務(wù)的通信可能是任意一 臺(tái)終端設(shè)備向另一臺(tái)終端設(shè)備發(fā)送的一組 ip 數(shù)據(jù)包，這組數(shù)據(jù)包實(shí)際上就構(gòu)成 了運(yùn)營(yíng)商網(wǎng)絡(luò)中某種業(yè)務(wù)的一個(gè) flow 。如果管理系統(tǒng)能對(duì)全網(wǎng)傳送的所有 flow 進(jìn)行區(qū)分，準(zhǔn)確記錄傳送時(shí)間、傳送方向和

9、flow 的大小，就可以對(duì)運(yùn)營(yíng)商全網(wǎng) 所有業(yè)務(wù)的流量和流向進(jìn)行分析和統(tǒng)計(jì)。通過(guò)分析網(wǎng)絡(luò)中不同 flow 之間的差別，可以發(fā)現(xiàn)判斷任何兩個(gè) ip 數(shù)據(jù)包是否屬于同一個(gè) flow ，實(shí)際上可以 通過(guò)分析ip數(shù)據(jù)包的以下7個(gè)屬性來(lái)實(shí)現(xiàn)：a）源ip地址；b）目標(biāo)ip地址；c）源通信端口號(hào)；d）目標(biāo)通信端口號(hào)；e）第三層協(xié)議類(lèi)型；f）服務(wù)類(lèi)型（tos ）字節(jié)；g）網(wǎng)絡(luò)設(shè)備輸入或輸出的邏輯網(wǎng)絡(luò)端口（ iflndex ）。cisco 公司的 netflow 技術(shù)就是利用分析 ip數(shù)據(jù)包的上述 7 個(gè)屬性，快速區(qū)分網(wǎng)絡(luò)中傳送的各種不同類(lèi)型業(yè)務(wù)的 flow 。對(duì) 區(qū)分出的每個(gè) flow ， netflow 技術(shù)

10、可以進(jìn)行單獨(dú)跟蹤和準(zhǔn)確計(jì)量，記錄其傳送 方向和目的地等流向特性，統(tǒng)計(jì)其起始和結(jié)束時(shí)間、服務(wù)類(lèi)型、包含的數(shù)據(jù)包 數(shù)量和字節(jié)數(shù)量等流量信息。在 netflow 技術(shù)的演進(jìn)過(guò)程中， cisco 公司一共開(kāi)發(fā)出了 netflow v1 、netflow v5 、netflow v7 、netflow v8 和 netflowv9等5個(gè)主要的實(shí)用版本。下面對(duì)網(wǎng)絡(luò)流量和流向分析系統(tǒng)中最常用的netflow v5 數(shù)據(jù)輸出的數(shù)據(jù)包格式作一簡(jiǎn)單介紹。圖 1 為 netflow v5 輸出數(shù)據(jù)包的包頭格式。圖 2 為包含在每個(gè) netflow v5 輸出數(shù)據(jù)包中的具體 flow 的流量和流向統(tǒng)計(jì)信息的數(shù)據(jù)格式。

11、圖 1 netflow v5 輸出數(shù)據(jù)包的包頭格式圖 2 netflow v5 輸出數(shù)據(jù)包中每個(gè) flow 的具體流量和流向統(tǒng)計(jì)信息 格式 netflow 的數(shù)據(jù)輸出要求先在路由器和交換機(jī)上定制 netflow 流輸 出，并選擇輸出流的版本、個(gè)數(shù)、緩沖區(qū)的大小等，配置相應(yīng) netflow 流量收 集器（ flowcollector ）的 ip 地址、端口等信息。此時(shí)路由器或交換機(jī)即可以 用戶數(shù)據(jù)報(bào)協(xié)議（udp）的方式向外發(fā)送流信息，然后在 netflow flowcollector 端配置接收端口號(hào)，設(shè)置匯聚、過(guò)濾策略和流量文件存放目 錄、格式等。 netflow 有非采樣和采樣兩種使用模式。

12、一般來(lái)說(shuō)，netflow flowcollector 都選用 unix 工作站來(lái)收集數(shù)據(jù)， netflow flowcollector 收集的數(shù)據(jù)將存放在本地磁盤(pán)中（路徑由用戶定義）。同時(shí)， 它也可以通過(guò)網(wǎng)關(guān)以 socket 方式發(fā)送信息到其他網(wǎng)管分析軟件，或直接讀取存 放在 netflow flowcollector 工作站中的數(shù)據(jù)文件，對(duì)其進(jìn)行分析處理。netflow 記錄的流包含了豐富的信息，非常適合于網(wǎng)絡(luò)性能分析。 netflow 不需 要其他硬件流量設(shè)備的支持，開(kāi)啟和關(guān)閉都非常方便，因此在國(guó)外已有很多運(yùn) 營(yíng)商用它來(lái)收集流量，服務(wù)于網(wǎng)絡(luò)規(guī)劃、設(shè)計(jì)和優(yōu)化等領(lǐng)域。但開(kāi)啟 netflow 需

13、要消耗一定的路由器資源（ cpu 和內(nèi)存）。根據(jù) netflow 的特點(diǎn)，該技術(shù)非常適用于大型網(wǎng)絡(luò)。 netflow 采集實(shí)施成本較低、安裝方便，而且不受速 率的限制，是目前運(yùn)營(yíng)商流量監(jiān)測(cè)的首選技術(shù)。采集到的 netflow 數(shù)據(jù)，結(jié)合邊界網(wǎng)關(guān)協(xié)議（bgp）路由信息，可以更加精確地分析路由信息和互聯(lián)流量 的自治域（as）屬性。2.2 流量采集對(duì)業(yè)務(wù)網(wǎng)絡(luò)的影響評(píng)估2.2.1帶寬占用 采用 netflow 方案不要求處理從某個(gè)接口接受到的每個(gè)數(shù)據(jù)包， 用來(lái)對(duì)被監(jiān)控路由器進(jìn)行流量分析的數(shù)據(jù)來(lái)自采集到的 netflow 數(shù)據(jù)，從路由 器送出的非采樣 netflow 數(shù)據(jù)不到流經(jīng)該路由器數(shù)據(jù)量的 1%，

14、使用采樣 netflow 時(shí)數(shù)據(jù)更為大大減少。根據(jù)計(jì)算，在采樣率為1 000： 1 時(shí)，對(duì)10gbit/s 的流量進(jìn)行 netflow 分析，只產(chǎn)生 1.3mbit/s 的流量。因此， netflow 產(chǎn)生的這部分流量對(duì)于骨干網(wǎng)的帶寬占用很少。2.2.2 路由器性能消耗 利用 netflow 技術(shù)實(shí)現(xiàn)流量監(jiān)測(cè)需要路由器開(kāi)啟 netflow 協(xié)議以 配合采集數(shù)據(jù)，因此會(huì)對(duì)路由器的 cpu 造成一定的負(fù)擔(dān)。 cisco 公司和 juniper 公司等路由器廠家都針對(duì)這些問(wèn)題作了詳細(xì)的研究。不同的產(chǎn)品系列和 netflow 協(xié)議是否經(jīng)過(guò)采樣等，對(duì) cpu 的影響程度也不同。根據(jù) cisco 公司的“

15、 n etflow performa nee an alysis” 白皮書(shū)，在非采樣方式下，路由器開(kāi)啟netflow后，其cpu使用狀況如下：a）如果有10 000條同時(shí)在線的flow，則路由器的cpu使用率平均增加7.14%;b）如果有45 000條同時(shí)在線的flow，則路由器的cpu使用率平均增加19.16%;c）如果有65000條同時(shí)在線的flow，則路由器的cpu使用率平均增加22.98%。這些數(shù)據(jù)是基于不同的產(chǎn)品系列進(jìn)行測(cè)試的平均值。在采樣方式下開(kāi)啟netflow 對(duì)路由器的cpu影響會(huì)更小。根據(jù)cisco公司的資料顯示，12000系列 的路由器在非采樣方式下需要增加 23.5%的c

16、pu使用率來(lái)處理65 000條flow， 而在采用 100:1 的采樣率時(shí) cpu 使用率僅增加 3%。在不同的采樣率下， cpu 的 負(fù)擔(dān)增加程度也不同。路由器上不同類(lèi)型的線卡對(duì) netflow 的支持情況也有所不同。仍以 cisco 公司路由器為例， engine 3 和 engine 4+ 的線卡是采用 專(zhuān)門(mén)的硬件來(lái)處理 netflow 數(shù)據(jù)，開(kāi)啟 netflow 對(duì)路由器性能影響較小；而通 常認(rèn)為 engine 2 的線卡開(kāi)啟 netflow 對(duì)路由器性能的影響相對(duì)較大。 2.3 netflow 采樣率的設(shè)定 在采樣方式下，路由器按照一定的采樣率采集 netflow 數(shù)據(jù)，流量分析系統(tǒng)

17、接收 netflow 數(shù)據(jù)對(duì)網(wǎng)絡(luò)的流量進(jìn)行計(jì)算和分 析，因此路由器的采樣率在很大程度上決定了分析結(jié)果的準(zhǔn)確性。如果路由器 設(shè)定的采樣率過(guò)高（如 1000:1 或更高），流量分析的誤差將加大，尤其對(duì)小 flow 或混雜在大流量中的部分關(guān)鍵的小 flow 的分析，更容易產(chǎn)生比較大的誤 差。 在路由器上開(kāi)啟 netflow 會(huì)消耗一些設(shè)備資源，特別是需要占用一些 cpu和memory等重要資源，而且采樣率越低，對(duì)資源的占用越大。如果設(shè)置過(guò) 低的 netflow 采樣率會(huì)對(duì)路由器的性能帶來(lái)較大的影響。因此，應(yīng)根據(jù)路由器 上需要打開(kāi)的 netflow 功能板卡的主要類(lèi)型，并結(jié)合設(shè)備上開(kāi)通的電路的流量 情

18、況靈活地設(shè)置路由器的 netflow 采樣率，包括 100:1 、 500:1 、1 000:1 和 3 000:1 等。 2.4 流量采集點(diǎn)的設(shè)置 為了實(shí)現(xiàn)對(duì)所監(jiān)測(cè)網(wǎng)內(nèi)的所有流 量進(jìn)行分析，首先需要合理地設(shè)置流量采集點(diǎn)。采集點(diǎn)的設(shè)置非常關(guān)鍵，直接 影響到系統(tǒng)能否準(zhǔn)確地對(duì)流量進(jìn)行全面分析。下面主要針對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)優(yōu)化應(yīng) 用提出采集點(diǎn)設(shè)置建議方案。由于主要是實(shí)現(xiàn)對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)的優(yōu)化，所以不一定需要對(duì)網(wǎng)絡(luò)中傳送的所有流量數(shù)據(jù)進(jìn)行 100%的監(jiān)測(cè)。為減少對(duì)網(wǎng)絡(luò)設(shè)備 的資源占用，降低對(duì)系統(tǒng)的容量要求，可以選用數(shù)據(jù)包抽樣的 netflow 數(shù)據(jù)采 集方式，對(duì)網(wǎng)絡(luò)中的所有流量進(jìn)行統(tǒng)計(jì)。通常情況下，運(yùn)營(yíng)商網(wǎng)絡(luò)結(jié)

19、構(gòu)包括核心層和邊緣層兩個(gè)層次，網(wǎng)絡(luò)流量通過(guò)邊緣層的路由器匯接進(jìn)入核心層， 由核心層的路由器進(jìn)行轉(zhuǎn)接。而 netflow 技術(shù)只能對(duì)端口的流入流量進(jìn)行分 析，因此，流量采集點(diǎn)的設(shè)置主要有兩種方案可供選擇：a）方案一：采集點(diǎn)設(shè)置在網(wǎng)絡(luò)的核心層，核心層路由器之間的互聯(lián)端口不需要開(kāi)啟 netflow ，核心節(jié)點(diǎn)路由器對(duì)外的互聯(lián)端口開(kāi)啟 netflow 流入流量采集。 該方案的優(yōu)點(diǎn)是被采集的路由器數(shù)量少，因此管理比較簡(jiǎn)單，配置工作量比較 小；缺點(diǎn)是采集端口集中在核心層路由器上，增加了核心層路由器的負(fù)擔(dān)，對(duì) 業(yè)務(wù)網(wǎng)絡(luò)的影響較大。b）方案二：采集點(diǎn)設(shè)置在網(wǎng)絡(luò)的邊緣層，邊緣層路由器對(duì)外的互聯(lián)端口開(kāi)啟 netf

20、low 流入流量采集，對(duì)從其他 as 進(jìn)入到網(wǎng)內(nèi)的 流量進(jìn)行分析。該方案的優(yōu)點(diǎn)是采集端口分散在邊緣層的多臺(tái)路由器上，相應(yīng)地減少了單臺(tái)路由器上的采集數(shù)據(jù)量和因流量采集而增加的負(fù)擔(dān)，降低了 開(kāi)啟 netflow 對(duì)業(yè)務(wù)網(wǎng)絡(luò)的影響；缺點(diǎn)是被采集的路由器數(shù)量較多，管理的復(fù) 雜程度和配置工作量都相應(yīng)加大，而且這種方案需要將采集的 netflow 數(shù)據(jù)從 邊緣層的路由器傳送到集中設(shè)置的采集機(jī)，會(huì)在網(wǎng)內(nèi)增加一定的流量而占用網(wǎng) 絡(luò)帶寬。在實(shí)際應(yīng)用中，流量采集點(diǎn)的設(shè)置應(yīng)根據(jù)網(wǎng)絡(luò)的具體情況和管理要求來(lái)選擇合適的方案。圖 3為運(yùn)營(yíng)商網(wǎng)絡(luò)優(yōu)化時(shí)的流量采集點(diǎn)設(shè)置示意圖。圖 3 運(yùn)營(yíng)商網(wǎng)絡(luò)優(yōu)化流量采集點(diǎn)設(shè)置示意圖2.5

21、系統(tǒng)組織方案 流量分析系統(tǒng)由采集機(jī)和分析服務(wù)器組成。被采集的路由器將 netflow 數(shù)據(jù)包發(fā)往 netflow 流量采集機(jī)，采集機(jī)將采集到的 netflow 數(shù)據(jù)送到分析服 務(wù)器進(jìn)行分析。被采集的路由器分布在全網(wǎng)各個(gè)節(jié)點(diǎn)，當(dāng)系統(tǒng)規(guī)模較大時(shí)，需 要配置多臺(tái)采集機(jī)和分析服務(wù)器。采集機(jī)和分析服務(wù)器的部署有以下兩種方 案。a）方案一：將采集機(jī)分別部署在各個(gè)核心節(jié)點(diǎn)，每個(gè)核心節(jié)點(diǎn)的采集機(jī)負(fù)責(zé)采集連接至該核心節(jié)點(diǎn)的路由器；分析服務(wù)器集中部署在網(wǎng)管中心。該方案采集機(jī)通過(guò)以太網(wǎng)接口接入核心路由器或與核心路由器連接的局域網(wǎng)交 換機(jī)，實(shí)現(xiàn)與被采集路由器的互通。利用用戶數(shù)據(jù)報(bào)協(xié)議（udp）從被采集路由器上的端口采

22、集 netflow 數(shù)據(jù)，再通過(guò) ip 網(wǎng)絡(luò)傳送到分析服務(wù)器，由分析服務(wù) 器進(jìn)行數(shù)據(jù)匯總和分析處理，如圖 4 所示。圖 4 流量分析系統(tǒng)組織方案一示意圖該方案的優(yōu)點(diǎn)是，在至分析服務(wù)器的 ip 網(wǎng)絡(luò)連接出現(xiàn)突發(fā)故障時(shí)，可以充分利用采集機(jī)的存儲(chǔ)能力，暫 存 netflow 數(shù)據(jù)，待網(wǎng)絡(luò)連接恢復(fù)時(shí)，再向分析服務(wù)器傳送；這種分布式的部 署方案還可以避免單點(diǎn)出現(xiàn)故障時(shí)導(dǎo)致全網(wǎng)流量無(wú)法采集，而且采集機(jī)還可以 進(jìn)行一些預(yù)處理工作，減輕分析服務(wù)器的壓力。缺點(diǎn)是每個(gè)核心節(jié)點(diǎn)都需要配 備一套采集機(jī)，設(shè)備的綜合利用率不夠高，管理和維護(hù)不夠集中。b）方案二：采集機(jī)和分析服務(wù)器集中部署，由多臺(tái)采集機(jī)共同負(fù)責(zé)采集全網(wǎng)內(nèi)的

23、路 由器。該方案采集機(jī)通過(guò)以太網(wǎng)接口接入網(wǎng)管中心，實(shí)現(xiàn)與全網(wǎng)內(nèi)被采集路由 器的互通，采集機(jī)利用udp通過(guò)ip網(wǎng)絡(luò)從各節(jié)點(diǎn)被采集路由器上的端口采集 netflow 數(shù)據(jù)，再通過(guò)局域網(wǎng)傳送到分析服務(wù)器，由分析服務(wù)器進(jìn)行數(shù)據(jù)匯總 和分析處理，如圖 5 所示。圖 5 流量分析系統(tǒng)組織方案二示意圖該方案的優(yōu)點(diǎn)是，流量分析系統(tǒng)設(shè)備集中部署，便于統(tǒng)一管理和統(tǒng)一維護(hù)，也提高了設(shè)備的利用率；缺 點(diǎn)是如果 ip 網(wǎng)絡(luò)不穩(wěn)定或發(fā)生故障時(shí)，路由器的 netflow 數(shù)據(jù)將不能傳送到網(wǎng) 管中心，處理不當(dāng)可能造成 netflow 數(shù)據(jù)的丟失。實(shí)際部署時(shí)應(yīng)根據(jù)具體的要求來(lái)選擇合適的系統(tǒng)組織方案。2.6 系統(tǒng)處理能力估算模型的分析2.6.1計(jì)算數(shù)據(jù)的取定首先取定以下計(jì)算數(shù)據(jù)：a） 個(gè)netflowv5輸出數(shù)據(jù)包的包長(zhǎng)為1 500 byte ； b） 個(gè)netflow v5 輸出數(shù)據(jù)包中 包括的flow的數(shù)量為30；c）網(wǎng)絡(luò)流量